Общие сведения
Avanpost FAM обеспечивает 2FA/MFA/SSO для пользователей, выполняющих аутентификацию в облачный сервис Яндекс 360 для бизнеса, предоставляющий виртуальное рабочее пространство (почта, файловое хранилище, система видеоконференцсвязи, документы, календарь, заметки, мессенджер). В инструкции описывается настройка 2FA/MFA/SSO для Яндекс 360 посредством механизма SAML из состава системы Avanpost FAM.
Для выполнения настройки 2FA в Яндекс 360 для бизнеса в соответствии с инструкцией необходимо выполнить следующие предварительные условия:
Получить основные параметры для настройки единого входа по ссылке вида
http://<avanpost hostmane/IP>/.well-known/samlidp.xml
где <avanpost hostmane/IP>
— имя хоста или IP-адрес, по которому доступен сервис.
Настройка на стороне FAM
- Через административную консоль Avanpost FAM нужно создать приложение с типом SAML.
2. Указать для него в карточке приложения на вкладке «Настройки»:
- В поле Issuer введите https://yandex.ru/ (обязательно со знаком слеш в конце)..
- В поле ACS введите Service URL: https://passport.yandex.ru/auth/sso/commit.
- NameID Format — постоянный.
- Значение NameID — идентификатор, который будете использовать в качестве NameID при SAML SSO — Имя пользователя или Адрес электронной почты.
- Базовый URL и Logout оставить пустыми
3. Для нового процесса аутентификации следует включить метод Password в предлагаемом списке факторов. Остальные методы оставить выключенными.
4. Нажать Далее.
5. Отметить опцию Сделать приложение активным и нажать Сохранить.
6. В разделе Приложения веб-интерфейса Avanpost FAM выберите созданное на Шаге 1 SAML-приложение и перейти на вкладку Attributes.
7. Нажать значок и добавить поочередно три атрибута:
User.EmailAddress
— адрес электронной почты;User.Surname
— фамилия;User.Firstname
— имя.
8. Настроить синхронизацию атрибутов Avanpost FAM и Яндекс 360 — открыв каждый атрибут и измените параметры источников значений, как указано в Таблице.
Значения SAML Attribute Name
SAML Attribute Name | Значение |
---|---|
User.EmailAddress | user.email |
User.Firstname | user.family_name |
User.Surname | user.given_name |
Проверка настройки
- Перейти в браузере на Яндекс 360 и инициировать аутентификацию через доверенный провайдер Avanpost FAM. Дождаться перенаправления на интерфейс аутентификации Avanpost FAM.
- Выполнить аутентификацию в соответствии с настроенным сценарием.
В результате пользователь должен успешно пройти аутентификацию.